远程 CentOS 主机缺少 Red Hat 公告 RHSA-2014:0355 中所述的一个安全更新。

更新后的 yaml 程序包修复了安全漏洞：

Red Hat 产品安全团队的 Florian Weimer 发现， LibYAML（一个快速 YAML 1.1 解析器和发射器库）中存在基于堆的缓冲区溢出缺陷。远程攻击者可提供包含特别构建的标签的 YAML 文档，当使用 libyaml 的应用程序解析该文档时，会导致应用程序崩溃，或者可能以运行该应用程序的用户的权限执行任意代码 (CVE-2013-6393)。

Google 安全团队的 Ivan Fratric 发现， LibYAML（一个快速 YAML 1.1 解析器和发射器库）中存在基于堆的缓冲区溢出漏洞。远程攻击者可提供特别构建的 YAML 文档，当使用 libyaml 的应用程序解析该文档时，会导致该应用程序崩溃，或者可能以运行该应用程序的用户的权限执行任意代码 (CVE-2014-2525)。

在 libyaml 库解析封装的字符串的方式中发现断言失败。能够使用 libyaml 将特别构建的 YAML 输入加载到应用程序的攻击者可导致该应用程序崩溃 (CVE-2014-9130)。

Florian Weimer 发现 libyaml-libyaml-perl 未正确处理某些大型 YAML 文档。攻击者可利用此问题造成 libyaml-libyaml-perl 崩溃，从而导致拒绝服务或可能执行任意代码。(CVE-2013-6393)

Ivan Fratric 发现 libyaml-libyaml-perl 未正确处理某些畸形 YAML 文档。攻击者可利用此问题造成 libyaml-libyaml-perl 崩溃，从而导致拒绝服务或可能执行任意代码。(CVE-2014-2525)。

Red Hat 产品安全团队的 Florian Weimer 发现，LibYAML（一个快速 YAML 1.1 解析器和发射器库）中存在基于堆的缓冲区溢出缺陷。远程攻击者可提供包含特别构建的标签的 YAML 文档，当使用 libyaml 的应用程序解析该文档时，会导致该应用程序崩溃，或者可能以运行该应用程序的用户的权限执行任意代码。

此更新在内嵌于 libyaml-libyaml-perl 程序包的副本中修正了此缺陷。

此更新解决了两个安全问题。

CVE-2013-6393：在 0.1.5 之前的 LibYAML 中，scanner.c 中的 yaml_parser_scan_tag_uri 函数执行错误转换，远程攻击者可利用此问题造成拒绝服务（应用程序崩溃），还可能通过 YAML 文档中构建的标签（触发基于堆的缓冲区溢出）执行任意代码。

CVE-2014-2525：该库受到基于堆的缓冲区溢出的影响，可导致任意代码执行。造成漏洞的原因是传递到 yaml_parser_scan_uri_escapes() 函数的字符串缺少正常的扩展。特别构建的 YAML 文件若是在 URL 中包含长序列的百分比编码字符，可用于触发溢出。

请注意，Tenable Network Security 已直接从 Fedora 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下尽可能进行了自动整理和排版。

The remote host is running a version of Mac OS X that is older than 10.9.3, and is thus missing security-related fixes for the following components:

  - CFNetwork HTTPProtocol
  - CoreServicesUIAgent
  - FontParser
  - Heimdal Kerberos
  - ImageIO
  - Intel Graphics Driver
  - IOKit Kernel
  - Kernel
  - Power Management
  - Ruby
  - Security
  - Secure Transport
  - Window Server

Note that successful exploitation of the most serious issues could result in arbitrary code execution.

ID	名稱	產品	系列	已發布	已更新	嚴重性
74126	CentOS 6：Important: / ruby193-libyaml (CESA-2014:0355)	Nessus	CentOS Local Security Checks	2014/5/22	2021/1/4	medium
81943	Mandriva Linux 安全公告：yaml (MDVSA-2015:060)	Nessus	Mandriva Local Security Checks	2015/3/19	2021/1/6	medium
73329	Ubuntu 12.04 LTS / 12.10 / 13.10：libyaml-libyaml-perl 漏洞 (USN-2161-1)	Nessus	Ubuntu Local Security Checks	2014/4/4	2021/1/19	medium
72886	Debian DSA-2870-1：libyaml-libyaml-perl - 基于堆的缓冲区溢出	Nessus	Debian Local Security Checks	2014/3/10	2021/1/11	medium
73366	Fedora 20：perl-YAML-LibYAML-0.41-4.fc20 (2014-4548)	Nessus	Fedora Local Security Checks	2014/4/7	2021/1/11	medium
8265	Mac OS X < 10.9.3 Multiple Vulnerabilities (Security Update 2014-002)	Nessus Network Monitor	Web Clients	2014/5/27	2019/3/6	critical

偵測

搜尋 Plugin

medium

medium

medium

medium

medium

critical